Маршрутизаторы и коммутаторы с аутентификацией RADIUS могут быть настроены таким образом, чтобы вход в систему был отключен для локально настроенных пользователей, пока доступен сервер RADIUS. Если сервер RADIUS становится недоступным, они возвращаются к разрешению входа в систему как локально настроенный пользователь.
Можно ли добиться того же эффекта на машинах Linux, используя winbind для аутентификации пользователей Active Directory? У меня есть ощущение, что это можно сделать с помощью правильной конфигурации PAM, но я не очень далеко продвинулся по кривой обучения PAM ...
Да, это возможно.
В основном вам нужно будет убедиться, что у вас есть pam_unix ниже pam_winbind в вашей конфигурации pam, как в следующем примере:
auth required /lib/security/pam_securetty.so
auth sufficient /lib/security/pam_winbind.so
auth sufficient /lib/security/pam_unix.so use_first_pass
auth required /lib/security/pam_stack.so service=system-auth
auth required /lib/security/pam_nologin.so
account sufficient /lib/security/pam_winbind.so
account required /lib/security/pam_stack.so service=system-auth
password required /lib/security/pam_stack.so service=system-auth
session required /lib/security/pam_stack.so service=system-auth
session optional /lib/security/pam_console.so
Вам также необходимо убедиться, что nsswitch настроен на возврат к локальным идентификаторам:
passwd: winbind files
shadow: winbind files
group: winbind files
На сайте Samba есть подробные документы:
НО: вы можете столкнуться с некоторыми проблемами из-за длительного времени входа в систему, если вы не установите жесткие таймауты. Я также рекомендовал бы изучить другие альтернативы, которые могут работать лучше в таких случаях.